Persónuverndaryfirlýsing Vegagerðarinnar

Almennt

Vegagerðinni, kt. 680269-2899, Suðurhrauni 3, 210 Garðabæ, er annt um friðhelgi einstaklinga og tekur persónuvernd mjög alvarlega. Vegagerðin leggur mikla áherslu á að meðferð persónuupplýsinga sé ávallt í samræmi við gildandi persónuverndarlöggjöf.

Vegagerðin starfar samkvæmt lögum nr. 120/2012 um Vegagerðina, framkvæmdastofnun samgöngumála og sinnir fjölbreyttum verkefnum á sviði samgöngumála. Vegagerðin er veghaldari þjóðvega samkvæmt lögum nr. 80/2007 sem merkir að Vegagerðin hefur forræði yfir vegum og vegsvæðum, þar með talið vegagerð, þjónustu og viðhaldi á vegum.

Í þessari persónuverndaryfirlýsingu má sjá hvaða persónuupplýsingum Vegagerðin safnar um einstaklinga og í hvaða tilgangi. Þá má hér finna upplýsingar um aðra viðtakendur upplýsinganna og hvað þær eru geymdar lengi. Auk þess má hér finna upplýsingar um á hvaða grundvelli Vegagerðin safnar persónuupplýsingum, hvaða réttinda einstaklingar njóta og fleiri mikilvægar upplýsingar sem tengjast lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 (hér eftir persónuverndarlög).

Hvað eru persónuupplýsingar og vinnsla persónuupplýsinga?

Með persónuupplýsingum er átt við allar upplýsingar sem hægt er að rekja til tiltekins einstaklings, svo sem upplýsingar um nafn, kennitölu, heimilisfang, netfang, símanúmer, fjárhag, heilsufar, IP tölu og fleira. Í 2. og 3. tl. 1. mgr. 3. gr. persónuverndarlaga er að finna nánari skilgreiningu á persónuupplýsingum.

Með viðkvæmum persónuupplýsingum er átt við persónuupplýsingar sem njóta sérstakrar verndar samkvæmt persónuverndarlögum s.s. upplýsingar um þjóðernisuppruna eða kynþátt, stjórnmála- og trúarskoðanir, stéttarfélagsaðild, erfðagögn, heilsu, kynlíf eða kynhneigð.

Með vinnslu persónuupplýsinga er átt við alla meðferð og notkun persónuupplýsinga svo sem söfnun, skráningu, varðveislu, breytingu eða eyðingu. Í 4. tl. 1. mgr. 3. gr. persónuverndarlaga er að finna nánari skilgreiningu á vinnslu persónuupplýsinga.

Hvernig vinnur Vegagerðin persónuupplýsingar?

Hjá Vegagerðinni fer vinnsla persónuupplýsinga fram á lögmætum grundvelli og í samræmi við persónuverndarlög. Vegagerðin gætir jafnframt að því að persónuupplýsingar séu ekki unnar frekar á þann hátt að vinnslan sé ósamrýmanleg upprunalegum tilgangi vinnslunnar.  Vegagerðin gætir að því að farið sé að eftirfarandi meginreglum:

  1. Að persónuupplýsingar séu unnar með sanngjörnum hætti.
  2. Að persónuupplýsingum sé einungis safnað í skýrum tilgangi.
  3. Að ekki sé safnað meiri persónuupplýsingum en nauðsynlegt er.
  4. Að persónuupplýsingar séu nákvæmar og uppfærðar þegar þörf krefur.
  5. Að persónuupplýsingar séu ekki geymdar lengur en þörf er á.
  6. Að gætt sé að öryggi persónuupplýsinga með viðeigandi varúðarráðstöfunum.

Sjálfvirk ákvarðanataka

Sjálfvirk ákvarðanataka er það ferli þegar tekin er ákvörðun með sjálfvirkum hætti án nokkurrar mannlegrar aðkomu. Slíkar ákvarðanir geta verið byggðar á persónusniðum, þ.e. þegar persónuupplýsingar eru notaðar til að meta ákveðna þætti er varða hagi einstaklings, einkum að greina eða spá fyrir um þætti er varða frammistöðu hans í starfi, fjárhagsstöðu, heilsu, o.fl. Dæmi um sjálfvirka ákvarðanatöku væri ef ákvörðun um lánveitingu í gegnum vefsíðu byggði eingöngu á lánshæfismati.

Ekki fer fram sjálfvirk ákvarðanataka við vinnslu persónuupplýsinga hjá okkur.

Um hverja safnar Vegagerðin persónuupplýsingum?

Í starfsemi Vegagerðarinnar er nauðsynlegt að safna og vinna með persónuupplýsingar um mismunandi hópa einstaklinga. Þær persónuupplýsingar sem Vegagerðin hefur undir höndum geta verið um starfsmenn hennar, viðsemjendur, viðskiptavini og aðra þriðju aðila sem nauðsynlegt er að eiga samskipti við.

Hvaða persónuupplýsingum safnar Vegagerðin?

Vegagerðin safnar ólíkum persónuupplýsingum um mismunandi hópa einstaklinga eftir því um hvaða starfsemi er að ræða. Undir öllum kringumstæðum leitast Vegagerðin við að safna einungis þeim persónuupplýsingum sem nauðsynlegar eru með hliðsjón af tilgangi vinnslunnar.

Í ákveðnum tilvikum þurfum við að safna viðkvæmum persónuupplýsingum, svo sem upplýsingum um heilsufar og aðild að stéttarfélagi starfsmanna. Sérstök aðgát er höfð við meðferð slíkra upplýsinga.

Við söfnum og vinnum með eftirfarandi flokka persónuupplýsinga um umsækjendur, viðskiptavini, birgja, fyrrverandi og núverandi starfsfólk:

  • grunnupplýsingar (nafn, heimilisfang, netfang o.fl.)
  • andlitsmynd
  • stéttarfélagsaðild
  • bankaupplýsingar
  • skattaupplýsingar
  •  menntun
  • neyðartenglar
  • upplýsingar
  • úr starfsumsókn
  • úr ráðningarsamningi
  • úr tímaskráningu
  • um launagreiðslur
  • um heilsufar
  • úr tölvupóstssamskiptum
  • um orlof
  • um meðlagsgreiðslur
  • um verkefnastöðu
  • úr frammistöðukönnunum
  • úr starfsmannasamtölum
  • um ástæðu áminningar/uppsagnar
  • um símanotkun (lengd og tímasetning símtala)
  • um námskeiðssókn
  • um tjónsviðburði

Vegagerðin safnar og vinnur með eftirfarandi flokka persónuupplýsinga um starfsmenn, leigutaka og birgja:

Tölvupóstssamskipti

Við notum m.a. tölvupóst til að eiga í samskiptum við umsækjendur, viðskiptavini og tengiliði birgja og söfnum í þeim tilgangi tengiliðaupplýsingum ásamt samskiptunum sjálfum.

Samningar

Í þeim tilgangi að gera samninga við landeigendur og aðra viðskiptavini og viðsemjendur, söfnum við grunnupplýsingum um þá.

Reikningsgerð

Í þeim tilgangi að senda út reikninga og innheimta kröfur, söfnum við grunnupplýsingum um landeigendur og aðra viðskiptavini og viðsemjendur ásamt reikningsupphæð.

Viðskiptamannaskrá

Í þeim tilgangi að halda skrá um núverandi og fyrrverandi viðskiptavini okkar (t.d. birgja og viðsemjendur)  ásamt viðskiptasögu, söfnum við grunnupplýsingum um þá.

Hafa samband í gegnum vefsíðu

Við tökum við tjónstilkynningum frá ökumönnum og öðrum einstaklingum í gegnum vefsíðu okkar í þeim tilgangi að upplýsa um slys o.fl., söfnum við auðkennis- og tengiliðaupplýsingum, bílnúmeri, ásamt innihaldi ábendingar.

Tilgangur með söfnun persónuupplýsinga

  • Tilgangurinn með söfnun upplýsinganna er að:
  • Geta efnt samningsskyldu, til dæmis við starfsmenn.
  • Geta veitt ákveðna þjónustu, til dæmis við vegfarendur.
  • Gæta að lögmætum hagsmunum stofnunarinnar.
  • Gæta að lögmætum hagsmunum annarra.
  • Uppfylla lagaskyldu.

Lagagrundvöllur fyrir vinnslu persónuupplýsinga

Vegagerðin safnar og vinnur persónuupplýsingar á eftirfarandi lagagrundvelli:

  • Til að uppfylla lagaskyldu.
  • Til að uppfylla samningsskyldu.
  • Á grundvelli samþykkis einstaklinga.
  • Við verkefni í þágu almannahagsmuna eða beitingu opinbers valds.
  • Til að unnt sé að stofna, hafa uppi eða verja réttarkröfu.

Hve lengi geymir Vegagerðin persónuupplýsingar?

Vegagerðin er afhendingarskyldur aðili samkvæmt lögum um opinber skjalasöfn nr. 77/2014. Vegna þess er stofnuninni óheimilt að ónýta eða farga nokkru skjali sem fellur undir gildissvið þeirra laga nema með heimild þjóðskjalavarðar. Almennt eru þær persónuupplýsingar sem stofnunin vinnur afhentar Þjóðskjalasafni Íslands að þrjátíu árum liðnum. Efni sem verður til við rafræna vöktun er geymt í samræmi við reglur um rafræna vöktun nr. 837/2006. Að öðru leyti eru persónuupplýsingar hjá Vegagerðinni geymdar í þann tíma sem nauðsynlegt er fyrir stofnunina að hafa þær undir höndum.

Frá hverjum safnar Vegagerðin persónuupplýsingum?

Þá safnar Vegagerðin að meginstefnu til persónuupplýsingum beint frá þeim einstaklingum sem um ræðir en styðst einnig við opinberar skrár og upplýsingar frá öðrum stjórnvöldum í vinnslu sinni. Þegar og ef upplýsingum er safnað frá öðrum þriðju aðilum reynir stofnunin eftir fremsta megni að upplýsa viðkomandi um það.

Hvenær miðlar Vegagerðin persónuupplýsingum til þriðju aðila og af hverju?

Vegagerðin miðlar persónuupplýsingum til þriðju aðila sem eru ráðnir af stofnuninni til að vinna fyrir fram ákveðna vinnu, svo sem þjónustuveitendur, sem sjá um að geyma gögn meðal annars og verktaka. Í þeim tilfellum gerir stofnunin vinnslusamning við viðkomandi aðila. Slíkur samningur kveður meðal annars á um skyldu hans til að fylgja fyrirmælum stofnunarinnar um meðferð persónuupplýsinga og er honum óheimilt að nota þær í öðrum tilgangi. Jafnframt ber honum skylda til að tryggja öryggi upplýsinganna með viðeigandi hætti.

Í öðrum tilvikum getur einnig verið nauðsynlegt fyrir stofnunina að miðla persónuupplýsingum til þriðju aðila, til dæmis þegar skylda stendur til þess samkvæmt lögum, til dæmis skjalasafns í samræmi við lög um opinber skjalasöfn nr. 77/2014, almennings í samræmi við upplýsingalög nr. 140/2012 og aðila stjórnsýslumáls í samræmi við stjórnsýslulög nr. 37/1993. Að auki er stofnuninni heimilt að miðla upplýsingum til lögreglu og rannsóknarnefndar samgönguslysa þegar rannsakað er sakamál, mannshvarf eða samgönguslys, sbr. lög um Vegagerðina, og framkvæmdastofnun samgöngumála, nr. 120/2012.

Flutningur persónuupplýsinga út fyrir Evrópska efnahagssvæðið

Vegagerðinni er kunnugt um að ströng skilyrði gilda um flutning persónuupplýsinga til ríkja sem staðsett eru utan Evrópska efnahagssvæðisins. Vegagerðin gerir það ekki undir neinum kringumstæðum nema fullnægjandi heimild standi til þess samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018.

Öryggi upplýsinganna

Vegagerðin leitast við að grípa til viðeigandi tæknilegra og skipulegra öryggisráðstafana til að tryggja öryggi persónuupplýsinga í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018. Felur það meðal annars í sér að aðeins þeir starfsmenn hafa aðgang að persónuupplýsingum sem þess þurfa starfs síns vegna.

Auk þess stuðlar stofnunin að aukinni vitundarvakningu hjá starfsmönnum með reglulegri þjálfun og fræðslu um hvernig gæta skal að öryggi persónuupplýsinga.

Vefmyndavélar Vegagerðarinnar

Til að fylgjast með færð, veðri, umferð og ástandi á vegakerfinu og stuðla þannig að auknu samgönguöryggi viðhefur Vegagerðin rafræna vöktun með samgöngumannvirkjum í samræmi við heimild í 4. mgr. 4. gr. laga nr. 120/2012 um Vegagerðina, framkvæmdastofnun samgöngumála. Hluta þeirra upplýsinga sem safnað er með vöktuninni er miðlað áfram til vegfarenda með birtingu á heimasíðu Vegagerðarinnar en leitast er við að tryggja að birt myndefni sé ekki persónugreinanlegt.

Réttindi einstaklinga

Hafi einstaklingar veitt samþykki fyrir vinnslu tiltekinna persónuupplýsinga eiga þeir rétt samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 að afturkalla samþykki sitt hvenær sem er. Sá réttur hefur þó ekki áhrif á lögmæti þeirrar vinnslu sem fram fór áður en samþykki var afturkallað. Þá njóta þeir einnig annarra réttinda, svo sem réttar til að vera upplýstir um vinnslu, réttar til aðgangs að gögnum, réttar til að fá rangar eða villandi upplýsingar leiðréttar, réttar til að persónuupplýsingum verði eytt, réttar til að hindra að unnið verði með persónuupplýsingar um þá og réttar til að flytja eigin upplýsingar. Hafa skal í huga að réttindi einstaklinga eru ekki alltaf fortakslaus og kunna að vera háð ýmsum skilyrðum.

Samskiptaupplýsingar Vegagerðarinnar

Nafn: Vegagerðin

Heimilisfang: Suðurhrauni 3, 210 Garðabæ

Netfang: vegagerdin@vegagerdin.is

Símanúmer: 522 1000.

Persónuverndarfulltrúi

Hafi einstaklingar frekari spurningar um persónuverndaryfirlýsingu þessa geta þeir ávallt haft samband við persónuverndarfulltrúa Vegagerðarinnar.

Nafn: Dattaca Labs Iceland ehf.

Heimilisfang: Kalkofnsvegur 2, 101 Reykjavík.

Netfang: dpo@dattacalabs.com

Símanúmer: 517 3444.

Réttur til að leggja fram kvörtun hjá Persónuvernd

Dragi einstaklingar í efa að Vegagerðin meðhöndli persónuupplýsingar þeirra í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 hafa þeir rétt til að senda erindi til Persónuverndar (www.personuvernd.is).

Endurskoðun á þessari persónuverndaryfirlýsingu

Persónuverndaryfirlýsing þessi getur frá einum tíma til annars tekið breytingum í samræmi við breytingar á viðeigandi lögum og reglugerðum eða ef breytingar verða gerðar á því hvernig Vegagerðin vinnur með persónuupplýsingar. Verði breytingar gerðar á persónuverndaryfirlýsingu þessari verður tilkynnt um slíkt á heimasíðu stofnunarinnar www.vegagerdin.is  

Eftir að breytingar hafa verið gerðar á persónuverndaryfirlýsingu taka þær gildi þegar uppfærð útgáfa hefur verið birt.

Síðast uppfært í október 2021